Araştırmacılar, geçen yıl bir dizi saldırıyla BAE hükümetinin web sitelerini hedef alan bir grup İranlı siber suçlu buldu.
“Geçen yıl, FortiEDR araştırma laboratuvarı, Birleşik Arap Emirlikleri’ndeki bir devlet kuruluşunu hedef alan birkaç eş zamanlı saldırı tespit etti. FortiEDR araştırma laboratuvarı raporunda, JS_POWMET ve AdKoob gibi bazıları bilinen tehditler olarak sınıflandırılırken, biri tanımlanamadı” dedi.
Araştırmacılara göre, yalıtılmış ve yüksek düzeyde hedefli saldırı, PowerExchange olarak bilinen özel bir PowerShell tabanlı arka kapı içeriyordu.
Bu özel arka kapı, kurbanın Microsoft Exchange sunucusunu merkezi C2 sunucusu olarak kullanan e-posta tabanlı bir komut ve kontrol (C2) protokolü kullandı.
Etkilenen ağa yönelik kapsamlı bir adli tıp araştırması, ek uç noktalarda PowerExchange arka kapısının varlığının yanı sıra çeşitli sunucularda çok sayıda başka implantın bulunduğunu ortaya çıkardı.
Özellikle, Microsoft Exchange sunucularında tespit edilen implantlardan biri, hassas kimlik bilgilerini toplamak için ayırt edici özelliğinden dolayı adını alan ExchangeLeech adlı daha önce görülmemiş bir web kabuğuydu.
Raporda, “İranlı bir tehdit aktörünün bu araçları kullandığına dair göstergeler görüyoruz” denildi.
BAE hükümetini hedef alan İranlı siber suçlular: Saldırı ayrıntıları
BAE hükümeti web sitelerini hedef alan İranlı siber suçlular, ilk bulaşma vektörü olarak kimlik avını kullandı. Bir kullanıcı bilmeden, Brochure.exe adlı kötü amaçlı bir .NET yürütülebilir dosyasını içeren Brochure.zip adlı bir zip dosyasını açtı.
Bir Adobe PDF simgesiyle gizlenen bu yürütülebilir dosya, çalıştırıldığında bir hata mesajı kutusu görüntüledi. Gerçekte, son yükü yüklemekten ve yürütmekten sorumlu bir damlalıktı.
Bu yürütülebilir dosya aynı zamanda son yükü yükleyip yürütür ve programlanmış bir görev kullanarak autosave.exe için kalıcılığı korur. Zamanlanan görev, her beş dakikada bir çalışan MicrosoftEdgeUpdateService idi.
BAE’yi hedef alan İranlı siber suçluların yer aldığı operasyonda, saldırganlara e-posta ekleri aracılığıyla da gönderilen mesajlar vardı. E-postaların gövdesinde yalnızca “Microsoft Edge Update” metni bulunur, ancak “Next Text Document.txt” adlı ekinde makine ayrıntılarını içerir.
PowerExchange arka kapısı tarafından takip edilen komutlar (Fotoğraf: Fortinet)
Saldırgan ayrıca aynı mesaja e-posta yoluyla yanıt verir ve ek komutlar gönderir. Ağlar arasında yatay olarak hareket etmek için, Invoke-TheHash projesindeki Invoke-WMIExec ve Invoke-SMBClient PowerShell modüllerinin varyantları kullanıldı.
BAE’yi hedef alan İranlı siber suçlular, Etki Alanı Denetleyicileri ve kurumsal Exchange sunucuları aracılığıyla hareket etti. Temel kimlik doğrulama protokolünü izlemelerine rağmen, kullanıcıların oturum açma kimlik bilgilerini açık metin biçiminde buldular.
Raporlara göre, İranlı siber suçlular tarafından BAE hükümetinin web sitelerini hedef alan arka kapı ile Kuveyt’in hükümet kuruluşlarına yönelik siber saldırılarında kullanılan arka kapı arasındaki benzerlikler bulundu. Kuveyt siber saldırıları TriFive arka kapısını kullandı ve saldırı APT34 ile bağlantılıydı.
Ancak arka kapı, BAE’yi hedef alan İranlı siber suçlular da dahil olmak üzere gruplar tarafından kullanılanlarla benzerlikler taşıyordu. Benzerlikler şu şekildeydi:
- Her ikisi de PowerShell’de yazılmıştır.
- Her ikisinin de düzenli aralıklarla çalışması planlandı.
- C2 kanalı, hedeflerin Exchange sunucusunu EWS API ile güçlendirdi.
- Her ikisi de siber saldırıları başlatmak için kimlik avı e-postaları kullandı.
- APT34, hedefleri İranlı siber suçlular tarafından saldırıya uğrayanlara bağlamıştı.
PowerExchange’in TriFive arka kapısının elden geçirilmiş bir versiyonu olduğu tahmin ediliyor.
İranlı siber suçluların BAE’yi hedef alan saldırılarının tespiti ve önlenmesi
BAE hükümet kuruluşlarını hedef aldığı tespit edilen İranlı siber suçlular, arka kapı diğer gerçek trafikle kamufle olmaya izin verdiği için tespit edilmekten kurtuldu.
Fortinet blogunda “C2 kanalı için kurbanın Exchange sunucusunu kullanmak, arka kapının zararsız trafiğe karışmasını sağlayarak, tehdit aktörünün hedef kuruluşun altyapısı içinde ve dışında neredeyse tüm ağ tabanlı tespitlerden ve düzeltmelerden kolayca kaçınmasını sağlıyor.” .
Bu tür tespitten kaçmayı azaltmak için, kullanıcıların ve kuruluşların koruma için cihazlar arasında sağlam bir uç nokta çözümü dağıtması önerilir.
BAE hükümetinin web sitelerini hedef alan İranlı siber suçlular gibi bilgisayar korsanlarına erişim vermekten kaçınmak için tüm çalışanlardan görünüşte bilinen ve bilinmeyen kaynaklardan gelen e-postaların URL’sini, dosya adını, dosya kaynağını ve her ayrıntısını izlemesi beklenir.
Fortinet blog gönderisinde, “Kimlik avı, tehdit aktörlerinin hedeflerini tehlikeye atması, en zayıf halka olan insan unsurunu kullanması ve görece düşük karmaşıklık ve iş maliyetinden yararlanması için etkili bir taktik olmaya devam ediyor” diye ekledi.